Te presentamos los detalles del caso de éxito que presentamos tanto en el evento anual de AUSAPE 2024 como en el SAPinsider EMEA 2024. La presentación “Gobierno de Acceso (seguridad y roles) en sistemas Cloud y SAP®GRC en DAIKIN®” cubría diferentes temas relacionados con el Área de Accesos incluyendo tanto de sistemas SAP ® On Premise & Cloud.
Daikin es una empresa japonesa de fabricación de aire acondicionado y aerotermia con sede en Osaka. Tiene operaciones en Japón, China, Australia, la India, el sudeste de Asia, Europa y América del Norte. A nivel organizativo cuenta con más de 89.000 empleados en todo el mundo y específicamente tiene más de 10.000 empleados en Europa. La unidad de Europa tiene la parte de IT localizada en Bélgica y España y da soporte a más de 20 filiales
EL RETO
Daikin está organizando un concepto global del departamento de IT responsable de la parte de autorizaciones y gestión de accesos. Este concepto incluye el gobierno de las autorizaciones de dos tipos de sistemas SAP® diferentes: “SAP On Premise” & “SAP Cloud & No SAP Systems”. Adicionalmente a este punto estaría la parte de control de accesos mediante el sistema de SAP GRC Access Control.
SOLUCIÓN INPROSEC
La propuesta por un lado afectaba a la parte de Autorizaciones incluyendo un concepto común que llamaremos “Authorization Concept” que fuera independiente de la tecnología que estuviera detrás del sistema SAP o No SAP. Este documento contendría la estructura funcional de las autorizaciones/accesos del sistema que forma parte de la infraestructura de sistema de Daikin que no dependerá de la tecnología especifica de este sistema.
Por otra parte, y en relación con el Área de GRC, se realizó la actualización del sistema a la nueva versión buscando resolver problemas conocidos que se tenían previamente identificados. Adicionalmente se propusieron pequeños cambios que aumentarían la eficiencia de los procesos de aprovisionamiento.
Implementación
Autorizaciones
Se diseña un documento que llamaremos “Authorization Concept”. Este documento se estructura en 4 secciones diferentes:
- Introducción sobre la solución: Daremos visibilidad de que hace la herramienta y cuál es la necesidad funcional de la misma para la organización de DAIKIN.
- Modelo de Accesos de la Solución: Aquí detallaremos que opciones tiene la herramienta para la restricción de accesos. Esta sección es muy diferente en función de la solución que se está implementando.
- Propuesta de Accesos para la necesidad de DAIKIN: Aquí detallaremos lo que va a ser utilizado desde el punto de vista de los accesos en Daikin. Hay objetos que pueden que no sean necesarios porque funcionalmente la restricción de accesos que necesitamos no lo necesita.
- Posiciones (Roles) que utilizarán la solución. Detallaremos todas las posiciones que vamos a estar utilizando, el objetivo de cada una de ellas, que contienen a nivel de acceso, que restricciones existen y que conflictos pueden existir si juntamos varias posiciones en un mismo usuario.
En la siguiente captura se muestra un ejemplo del documento:
SAP® GRC
Es importante entender que a día de hoy el sistema de SAP® GRC de Daikin da soporte a muchísimos sistemas diferentes y que por lo tanto los cambios propuestos deben ser evaluados con mucho detalle para evitar problemas de continuidad de los procesos de gestión de accesos. La imagen que aparece a continuación da visibilidad de la complejidad actual de este sistema:
Uno de los cambios más importantes que se identificaron a lo largo del proyecto venía de la generación de un nuevo entorno no productivo de GRC que nos permitiría hacer pruebas más estables y cercanas a lo que aparecería en el entorno de Producción de GRC:
El cambio que más ha impactado sobre la eficiencia del proceso dentro del sistema de GRC estaba relacionado con la simplificación del proceso de aprovisionamiento de acceso para aquellos casos que no generan riesgos de segregación de funciones. El conjunto de los cambios que se realizaron durante el proyecto supuso el ahorro de 1,18 FTEs al año.
RESULTADOS
Con la finalización de este proyecto, Daikin cuenta con documento que tiene una estructura común independientemente de la tecnología que esté detrás de este sistema. Esto significa un paso adelante en relación con el Gobierno de Accesos en sistema SAP ® y No SAP®.
Por otra parte, en relación con el Área de GRC, se ha conseguido una mejora sustancial en relación con la eficiencia de los procesos de accesos, se ha mejorado los procesos de revisión periódica de accesos anuales y revisión de riesgos anuales corrigiendo errores. Finalmente, y no menos importante, Daikin dispone de un nuevo sistema de pruebas que permitirá realizar unas pruebas más alineadas con lo que se tiene en el entorno de producción siendo capaz de replicar escenarios que anteriormente no podían ser realizados.